Il software dannoso, ovvero il malware , attacca in molte forme e dimensioni diverse. Inoltre, la sofisticazione del malware si è evoluta in modo significativo nel corso degli anni. Gli aggressori si rendono conto che tentare di iniettare l'intero pacchetto malware in un sistema in una sola volta non è sempre il modo più efficace.
Nel corso del tempo, il malware è diventato modulare. Alcune varianti di malware possono utilizzare moduli diversi per modificare il modo in cui influenzano il sistema di destinazione. Allora, cos’è il malware modulare e come funziona? Scopriamolo attraverso il seguente articolo!
Malware modulare: nuovo metodo di attacco invisibile per rubare dati
Il malware modulare è una minaccia pericolosa che attacca il sistema in diverse fasi. Invece di un attacco diretto, il modulo malware adotta un approccio secondario.
Lo fa installando prima solo i componenti essenziali. Quindi, invece di creare fanfara e avvisare gli utenti della sua presenza, il primo modulo si rivolge al sistema e alla sicurezza informatica; quali parti sono le principali responsabili, che tipo di metodo di protezione viene applicato, dove il malware può trovare vulnerabilità, quali exploit hanno le maggiori probabilità di successo, ecc.
Dopo aver rilevato con successo l'ambiente locale, il modulo malware della prima fase può comunicare con il suo server di comando e controllo (C2). C2 può quindi rispondere inviando ulteriori istruzioni insieme a moduli malware aggiuntivi per sfruttare l'ambiente specifico in cui opera il malware.
Il malware modulare è più vantaggioso del malware che raggruppa tutte le funzionalità in un unico payload, in particolare:
Il malware modulare non è una nuova minaccia. Gli sviluppatori di malware utilizzano in modo efficace programmi malware modulari da molto tempo. La differenza è che i ricercatori di sicurezza riscontrano più moduli malware in una varietà di situazioni. I ricercatori hanno anche scoperto l'enorme botnet Necurs (famigerata per la distribuzione delle varianti del ransomware Dridex e Locky ) che diffondeva moduli malware.
Esistono alcuni esempi molto interessanti di moduli malware. Eccone alcuni.
VPNFilter è una versione recente di malware che attacca router e dispositivi Internet of Things (IoT) . Questo malware opera in tre fasi.
Il malware della prima fase contatta un server di comando e controllo per scaricare il modulo della seconda fase. Il modulo della seconda fase raccoglie dati, esegue comandi e può intervenire nella gestione del dispositivo (inclusa la possibilità di "congelare" il router, il dispositivo IoT o il NAS). La seconda fase può anche scaricare i moduli della terza fase, che fungono da plugin per la seconda fase. Il modulo a tre fasi include un pacchetto di rilevamento del traffico SCADA, un modulo di infezione e un modulo che consente al malware della fase 2 di comunicare utilizzando la rete Tor .
Puoi saperne di più su VPNFilter leggendo il seguente articolo: Come rilevare il malware VPNFilter prima che distrugga il router.
I ricercatori di sicurezza di Palo Alto Networks hanno scoperto il malware T9000 (non correlato a Terminator o Skynet).
T9000 è uno strumento di raccolta di informazioni e dati. Una volta installato, T9000 consente agli aggressori di "acquisire dati crittografati, acquisire schermate di applicazioni specifiche e prendere di mira specificamente gli utenti Skype " nonché i file dei prodotti Microsoft Office. Il T9000 viene fornito con diversi moduli progettati per eludere 24 diversi prodotti di sicurezza, modificando il processo di installazione per non essere rilevato.
DanaBot è un trojan bancario multifase con diversi plugin che gli aggressori utilizzano per estendere le sue funzionalità. Ad esempio, nel maggio 2018 DanaBot è stato individuato in una serie di attacchi contro banche australiane. A quel tempo, i ricercatori hanno scoperto un pacchetto di plugin per il rilevamento delle infezioni, un plugin per la visualizzazione remota VNC, un plugin per la raccolta dati e un plugin Tor che consente comunicazioni sicure.
"DanaBot è un trojan bancario, il che significa che in una certa misura è necessariamente geo-mirato", si legge nel blog Proofpoint DanaBot. “Nonostante le numerose precauzioni messe in atto, come abbiamo visto nella campagna statunitense, è ancora facile vedere la crescita attiva, l’espansione geografica e la sofisticazione del malware. Il malware stesso contiene diverse funzionalità anti-analisi, nonché moduli di controllo remoto e furto di informazioni regolarmente aggiornati, che si aggiungono alla sua minaccia per gli obiettivi. ”
L'articolo combina tre varianti di moduli malware in un'unica sezione perché gli straordinari ricercatori sulla sicurezza di Proofpoint le hanno esplorate tutte e tre contemporaneamente. Queste varianti del modulo malware sono simili ma hanno usi diversi. Inoltre, CobInt fa parte della campagna Cobalt Group, un'organizzazione criminale legata a una lunga lista di criminali informatici nel settore bancario e finanziario.
Marap e AdvisorsBot sono stati creati per prendere di mira l'intero sistema bersaglio a scopo di difesa e mappare la rete, quindi determinare se il malware deve scaricare l'intero payload. Se il sistema preso di mira soddisfa l'esigenza (ad esempio, ha valore), il malware passa alla seconda fase dell'attacco.
Come altre versioni dei moduli malware, Marap, AdvisorsBot e CobInt seguono un processo in tre fasi. La prima fase è solitamente un'e-mail con un allegato infetto da malware per lo scopo di sfruttamento iniziale. Se l'exploit viene eseguito, il malware richiede immediatamente la seconda fase. La seconda fase prevede un modulo di ricognizione per valutare le misure di sicurezza e il panorama della rete del sistema target. Se il malware dice che è tutto in ordine, la fase finale scarica il terzo modulo, compreso il payload principale.
Mayhem è una versione leggermente precedente del modulo malware. È apparso per la prima volta nel 2014. Tuttavia, Mayhem è ancora un esempio di ottimo malware modulare. Il malware, scoperto dai ricercatori di sicurezza di Yandex, prende di mira i server Web Linux e Unix. Si installa tramite uno script PHP dannoso.
Una volta installato, lo script può richiamare diversi plugin che determinano l'utilizzo ottimale del malware.
I plugin includono un cracker di password a forza bruta che prende di mira gli account FTP, WordPress e Joomla , un web crawler per cercare altri server vulnerabili e un exploit Heartbleed OpenSLL.
L'ultima variante del modulo malware nell'articolo di oggi è anche una delle versioni più complete. Questo è anche uno dei più preoccupanti, per alcuni motivi.
Innanzitutto, DiamondFox è una botnet modulare venduta su vari forum clandestini. I potenziali criminali informatici possono acquistare il pacchetto botnet modulare DiamondFox per accedere a una gamma di funzionalità di attacco avanzate. Questo strumento viene aggiornato regolarmente e, come tutti gli altri servizi online, dispone di un'assistenza clienti personalizzata. (Ha anche un registro delle modifiche!)
Secondo motivo, la botnet modulare DiamondFox viene fornita con una serie di plugin. Queste funzionalità vengono attivate e disattivate tramite la dashboard, come si addice a un'app per la casa intelligente. I plugin includono strumenti di spionaggio adatti, strumenti per il furto di credenziali, strumenti DDoS, keylogger , posta spam e persino uno scanner RAM.
Come prevenire un attacco di malware modulare?
Al momento non esiste uno strumento specifico in grado di proteggere gli utenti da una variante del modulo malware. Inoltre, alcune varianti dei moduli malware hanno un ambito geografico limitato. Ad esempio, Marap, AdvisorsBot e CobInt si trovano principalmente in Russia e nei paesi della CSI.
I ricercatori di Proofpoint hanno dimostrato che, nonostante le attuali restrizioni geografiche, se altri criminali vedono un'organizzazione criminale consolidata che utilizza malware modulare, ne seguiranno sicuramente l'esempio.
È importante conoscere il modo in cui i moduli malware raggiungono il tuo sistema. La maggior parte dei casi registrati utilizzava allegati e-mail infetti da malware , spesso contenenti documenti Microsoft Office con script VBA dannosi. Gli aggressori utilizzano questo metodo perché è facile inviare e-mail infette da malware a milioni di potenziali obiettivi. Inoltre, l'exploit iniziale è molto piccolo e può essere facilmente mascherato da un normale file Office.
Come sempre, assicurati di mantenere aggiornato il tuo sistema e considera di investire in software antivirus di qualità. Ne vale la pena!
Vedi altro:
Vedi una notifica di attivazione di Windows 10 nell'angolo destro dello schermo? Questo articolo ti guiderà come eliminare l'avviso di richiesta di copyright su Windows 10.
Recentemente Microsoft ha rilasciato l'ultimo aggiornamento cumulativo per gli utenti di PC Windows 10 chiamato Build 14393.222. Questo aggiornamento rilasciato per Windows 10 corregge principalmente i bug in base al feedback degli utenti e migliora l'esperienza delle prestazioni del sistema operativo.
Hai computer sulla tua rete locale che necessitano di accesso esterno? Utilizzare un bastion host come gatekeeper per la tua rete può essere una buona soluzione.
Se preferisci utilizzare una vecchia tastiera classica, come l'IBM Model M, che non include un tasto Windows fisico, esiste un metodo semplice per aggiungerne altro, prendendo in prestito un tasto che non usi spesso. .
A volte potrebbe essere necessario eliminare i vecchi registri eventi tutti in una volta. In questa guida, Quantrimang.com ti mostrerà 3 modi per eliminare rapidamente tutti i registri eventi nel Visualizzatore eventi di Windows 10.
In molti articoli precedenti abbiamo menzionato che rimanere anonimi online è estremamente importante. Ogni anno vengono divulgate informazioni private, rendendo la sicurezza online sempre più necessaria. Questo è anche il motivo per cui dovremmo utilizzare indirizzi IP virtuali. Di seguito impareremo i metodi per creare IP falsi!
WindowTop è uno strumento che ha la capacità di oscurare tutte le finestre delle applicazioni e i programmi in esecuzione su computer Windows 10. Oppure puoi utilizzare un'interfaccia con sfondo scuro su Windows.
La barra della lingua su Windows 8 è una barra degli strumenti della lingua in miniatura progettata per essere visualizzata automaticamente sullo schermo del desktop. Tuttavia, molte persone desiderano nascondere questa barra della lingua sulla barra delle applicazioni.
La connettività wireless è oggi una necessità e per questo motivo la sicurezza wireless è essenziale per garantire la sicurezza della rete interna.
Massimizzare la velocità di Internet è essenziale per ottimizzare la connessione di rete. Puoi vivere un'esperienza di intrattenimento e di lavoro ottimale utilizzando computer, TV predisposte per Internet, console di gioco, ecc.
